Ifølge nyere forskning kan brugere af Metamask crypto wallet risikere at miste alle deres digitale aktiver eller endda fysiske trusler. Sikkerhedsanalytiker og kryptograf Alexandru Lupascu, medstifter af OMNIA-protokollen, fandt denne sårbarhed i den populære Web 3.0-pung.
Hvor meget skade kan gøres?
Lupascu fandt ud af, at en ondsindet part simpelthen kan oprette et ikke-fungibelt token (NFT) og få en brugers IP-adresse ved at overføre frit ejerskab af den digitale kunst. En hacker skal bruge så lavt som $50 for at angribe nogens privatliv. Han nævnte: "Undervurder ikke risikoen forbundet med IP-lækager."
Lupascu tilføjede, at "hvis ondsindede aktører henter mere information fra IP-adressen (tænk geolocation, GSM-operatør osv.), kan de gøre det til fysiske risici, såsom kidnapning."
Desuden kan dette angreb være mere "ødelæggende end et DDoS-angreb (Distributed Denial of Service)", ifølge kryptografen. For en simpel sammenligning kan dette angreb være otte gange stærkere end Mirai botnet-angrebet i oktober 2016, der fjernede Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb og mange flere populære websteder.
Alexandru offentliggjorde en komplet rundvisning af, hvordan angrebet udføres, fra prægning af en NFT til at overføre den til offeret til at få IP-adressen og til sidst kompromittere privatlivets fred eller endda stjæle deres kryptoaktiver. Han testede dette angreb på iOS Metamask-appen version 3.7.0, men det kan også være det samme for Android-versionen. Han lavede en NFT på OpenSea, den største NFT-markedsplads, og redigerede ERC-1155 standard smart kontrakt med Remix Ethereum IDE.
Har de rettet det?
Ifølge Lupascu fandt og adresserede han sikkerhedsfejlen til Metamask-teamet den 14. december 2021, men de forsømte og reagerede for at løse dette problem inden Q2 2022. Han sagde: "For os er det uacceptabelt at forlade så stor en bruger risikobase i så lang tid, især hvis dette var kendt på forhånd, som man siger."
Efter at denne forskning blev vist for offentligheden, Daniel Finlay, som er grundlæggeren af Metamask, indrømmede, "Jeg tror, at dette problem har været almindeligt kendt i lang tid, så jeg tror ikke, at der gælder en oplysningsperiode."
Finlay tilføjede: "Alex har ret i at kalde os for ikke at tage fat på det før. Begynder arbejdet på det nu. Tak for sparket i bukserne, og undskyld vi havde brug for det.”
Ikke at forglemme, ConsenSys, Metamasks moderselskab, rejste $200 millioner med Metamask, der oversteg 21 millioner månedlige aktive brugere i november 2021. Den mest populære krypto-wallet bruges også som en gateway til 3,700 Web 3.0 decentraliserede applikationer (dApps).
Hvad synes du om dette emne? Skriv til os og fortæl os det!
Ansvarsfraskrivelse
Alle oplysninger på vores websted offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, som læseren foretager sig på oplysningerne på vores websted, er strengt på deres egen risiko.
Kilde: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/